Касперский против ChatGPT: как антивирус вычислил вредонос, написанный ИИ

Лаборатория Касперского librarian likho кибератака искусственный интеллект вредоносное по касперский
Касперский против ChatGPT: как антивирус вычислил вредонос, написанный ИИ
Лаборатория Касперского librarian likho кибератака искусственный интеллект вредоносное по касперский

Атаки начались в сентябре и затронули предприятия авиационной и радиопромышленности.

image

«Лаборатория Касперского» сообщила о новой волне целевых атак группы Librarian Likho (ранее — Librarian Ghouls) против российских компаний авиационной и радиопромышленности. Кампания продолжается с сентября 2025 года, и впервые злоумышленники применяют вредоносное программное обеспечение собственной разработки. Анализ показал, что оно создано с использованием инструментов искусственного интеллекта.

Librarian Likho известна как группа, проводящая сложные кибератаки на организации в России и странах СНГ. Изначально она не занималась кибершпионажем, однако со временем стала охотиться за файлами, связанными с системами автоматизированного проектирования. Её интерес представляют компании из промышленного, телекоммуникационного, строительного, образовательного и энергетического секторов. Летом 2025 года фиксировались ночные атаки группы на российские организации.

Для получения доступа злоумышленники используют привычную тактику — целевые фишинговые рассылки. Жертвам отправляют письма с запароленными архивами, содержащими вредоносные файлы, замаскированные под документы реальных компаний. Вложенные файлы имитируют платёжные поручения, акты или коммерческие предложения. После открытия архива и запуска содержимого происходит заражение. Пароль к архиву указывается в письме, что затрудняет обнаружение атаки антивирусными средствами.

После проникновения в систему активируется граббер — вредоносная программа, собирающая документы, представляющие интерес для атакующих. Исследование кода показало, что при создании этого инструмента использовался ИИ-ассистент. Программа сканирует профили пользователей в заражённой системе, собирает файлы форматов .doc, .docx, .pdf, .txt, .xls и .xlsx из папок Desktop, Downloads и Documents, затем архивирует их и отправляет на почту злоумышленников.

Librarian Likho ранее не использовала собственные программы, предпочитая готовые инструменты, но в новой кампании группа изменила подход. Анализ указывает на участие ИИ в написании вредоноса — в коде обнаружено множество отладочных комментариев, типичных для генерации с помощью ассистентов.